Академический Документы
Профессиональный Документы
Культура Документы
fo
.in
pt
fp
« Alliance minière marocaine : AMM » est un groupe industriel dont l’activité principale est
l’extraction et traitement de gisements miniers : principalement du cobalt, argent et cuivre.
.o
Le siège de la société se trouve à Casablanca. Le groupe possède actuellement six (06) sites en
w
Le système informatique de la société est amélioré constamment pour prendre en charge les
dernières technologies et pour répondre efficacement aux besoins des utilisateurs.
Un progiciel de gestion intégré ( ERP) permet une gestion informatisée de toutes les activités de
l’entreprise ( gestion des approvisionnements, gestion des ressources humaines, suivi de opération de
commercialisation …)
Des solutions Internet permettent l’interconnexion des différents sites. Pour pallier aux
problèmes de sécurité, la technologie VPN est adoptée.
Les réseaux locaux de l’entreprise utilisent des routeurs Cisco 2901 et commutateurs Cisco
Catalyst 2960 (Layer 2) et 3560 (Layer 3).
Des serveurs Windows et Linux sont utilisés au niveau central et/ou par site pour assurer des
rôles d’authentification, DNS et DHCP et pour héberger les applications métiers.
Votre tâche consiste en l’analyse et la proposition de solutions pour mettre à niveau le système
informatique actuel de la société.
www.ofppt.info
Le réseau du groupe se compose de 7 réseaux (entre siège et sites miniers).
Le réseau IP 10.0.0.0 /20 est utilisé globalement pour l’adressage. Le cahier de charge prévoit
un maximum de 800 adresses IP par site.
Le site minier Site-D se trouve au sud du Maroc et est utilisé principalement pour l’exploitation
de l’argent et du zinc.
fo
Sur le plan fonctionnel, la mine est organisée comme suit :
.in
➢ Service approvisionnement.
➢ Service contrôle de gestion.
pt
➢ Service qualité et sécurité.
➢ Laboratoire.
fp
➢ Service de traitement.
.o
L’administrateur local a opté pour des commutateurs multicouches pour assurer le routage
w
inter-Vlan.
w
interface port-channel 1
switchport trunk encapsulation dot1q
www.ofppt.info
switchport mode trunk
switchport mode trunk
6) Donnez la commande(s) pour autoriser tous les Vlans sauf le Vlan 55 sur cette liaison.
switchport trunk allowed vlan 50
7) Donner les commandes nécessaires pour assurer le routage inter-vlan à l’aide de SVI
entre les VLANs 11, 22 et 55 sur MultilayerSW3.
ip routing
interface Vlan 22
ip address 10.0.16.1 255.255.255.192
interface Vlan 11
ip address 10.0.16.129 255.255.255.224
interface Vlan 55
ip address 10.0.16.65 255.255.255.192
L’interconnexion entre le siège et les différents sites est établie à base de liaison Internet à
fo
travers des connexions VPN.
Le Site-D à l’instar de la majorité de sites se trouve éloigné d’un accès ADSL disponible, pour
.in
cette raison, on utilise une connexion VSAT à 22 Mbps comme liaison principale avec technologie VPN.
pt
Le schéma des connexions est disponible sur l’annexe 2.
• Connexion par
9) Présenter les avantages des VPN en justifiant leur utilisation par le groupe.
.o
Du côté du siège, trois serveurs sont utilisés pour héberger des applications accessibles depuis
w
Internet. La solution consiste à configurer une traduction NAT. Pour préserver les adresses publiques,
l’administrateur décide d’exploiter les fonctions de redirection de port.
Des listes d’accès sont configurés au niveau du commutateur MultiLayerSW3, l’objectif étant
de :
www.ofppt.info
• Permettre au Vlan44 et Vlan55 de se connecter au Server-B (3éme adresse VLAN
serveurs) sur le port https.
11) Créer une liste de contrôle d’accès nommée « APPS-METIER » permettant de répondre
à ces contraintes.
Le groupe tout entier exploite la technologie Microsoft Active Directory pour gérer
l’authentification et les autorisations des utilisateurs.
Un domaine parent appelé « amm.local » est configuré au niveau du siège, alors que chaque site
possède un domaine enfant à l’exemple du Site-D qui détient le domaine « siteD.amm.local »
fo
A chaque site géographique on a fait correspondre un site Active Directory.
Le tableau suivant récapitule les maîtres d’opérations et services A.D présents par contrôleur de
domaine.
.o
Maître
w
domaine
w
DC-1 X X X
Siège DC-2 X X X
DC-3 X
DC-4 X X X
Site-D
DC-5
13) Quel est le rôle d’un serveur de catalogue global dans une organisation Active
Directory ?
Le catalogue global est l’ensemble de tous les objets d’une forêt AD DS (Active Directory
Domain Services). Un serveur de catalogue global est un contrôleur de domaine qui
enregistre une copie complète de tous les objets de l’annuaire pour son domaine hôte et
une copie partielle en lecture seule de tous les objets pour tous les autres domaines de
la forêt.
www.ofppt.info
14) Comment expliquer ce constat ?
Lorsqu’un utilisateur d’une forêt à domaines multiples ouvre une session sur un domaine
où les groupes universels ne sont pas autorisés, le contrôleur de domaine doit contacter
un serveur de catalogue global afin de récupérer toute appartenance de l’utilisateur aux
groupes universels dans d’autres domaines.
• recherche des objets.
• fournit une authentification des noms d’utilisateurs principaux.
• fournit des informations sur l’appartenance aux groupes universels dans un
environnement à domaines multiples.
15) Quelle solution peut-on proposer pour régler ce problème ?
Configurer un des contrôleurs de domaine du site comme catalogue gobal.
Un nouveau point d’exploitation loin de quelques kilomètres sera utilisé au niveau du Site-D, un
petit bureau temporaire a été mise en place contenant quelques ordinateurs et autres équipements.
En termes de connectivité réseau, le choix a été porté sur la mise en place de ponts Wifi. (Voir annexe3)
Un pont Wifi est installé de chaque côté, il fournit une interface RJ45 pour la connexion locale,
de l’autre côté la connexion envers l’autre pont utilise la bande de fréquence 5 GHZ évitant bon
nombre d’interférences qui peuvent toucher la fréquence 2.4 GHZ.
fo
16) Expliquez les interférences pour la bande 2.4 GHZ. Donnez des exemples de dispositifs
.in
causant ces problèmes.
Des perturbations entre les signaux de différentes sources utilisant une même plage
dans la bande de fréquence.
pt
• Le four à micro-ondes
• téléphones sans fi
fp
• webcams sans fi
• appareils Bluetooth
.o
w
17) Quelles sont les normes 802.11 compatibles avec la bande de fréquence 5 GHZ ?
w
• 802.11 a
w
• 802.11 n
• 802.11 ac
18) Quelle solution peut être adoptée concernant l’installation du nouveau contrôleur de
domaine ?
Installer un contrôleur RODC
Le serveur Server-D (5éme adresse VLAN serveurs) est un serveur linux, il assure le rôle de
serveur secondaire pour la zone « siteD.amm.local ». Le serveur est adressé de manière statique.
www.ofppt.info
ONBOOT=yes
NETWORK=
NETMASK=
IPADDR=
Les directives suivantes ont été extraites du fichier de configuration BIND (les variables ip1, ip2,
ip3 représentent des adresses IP ).
forwarders { ip1 ; } ;
listen-on { 127.0.0.1; ip2; };
allow-recursion {ip3;};
notify yes ;
20) Expliquer les différentes directives.
Forwarders : Transmettre les requêtes à d’autres serveurs si ce serveur ne sait pas résoudre ces
adresses.
Listen-on : port d’écoute.
Allow-recursion : Autoriser les requêtes récursives
fo
Notify : informer les serveurs secondaires de la modification de la zone.
.in
21) Quelle directive doit être ajoutée à une zone DNS sous Linux pour autoriser la mise à
jour dynamique de la zone ?
allow-update
pt
22) Si l’administrateur devait configurer une zone de recherche inversée pour le sous-
réseau 10.20.0.0 /16, quelle serait le nom de cette zone ?
fp
20.10.in-addr.arpa
.o
Le serveur Server-D assure aussi le rôle de serveur syslog. On doit s’assurer que le service de
w
syslog nommé syslogd démarre pour les niveaux d’exécution : multi-utilisateurs sans X11 et multi-
utilisateurs avec X11.
w
www.ofppt.info
25) Quelle commande aurait permis de configurer un routeur Cisco afin d’envoyer des
messages log au serveur 10.0.13.144 ?
Logging 10.0.13.144
26) Expliquer les champs marqués dans le message syslog.
27) Pourquoi est-il important d’avoir une date et heure synchronisées sur l’ensemble des
équipements réseaux ? comment un administrateur peut-il atteindre ce but
facilement ?
Utiliser le protocole NTP
L’administrateur soupçonne qu’une des machines a subi une attaque aboutissant à l’écoute
électronique.
28) De quelle attaque s’agit-t-il dans ce cas ? décrire brièvement son principe.
Mac poisoning
29) Citer quelques méthodes qui peuvent aider à faire face à cette attaque ?
Utilisation des adresses mac sécurisées au niveau du switch
fo
Installer des IDS et IPS pour hôtes
… .in
30) Décrire une autre attaque qui peut donner lieu à l’écoute électronique.
Mac flooding
MITM
pt
fp
.o
w
w
w
www.ofppt.info
Annexe 1 : Tableau d’adressage pour Site-D :
fo
gestion.
Service qualité et
.in
sécurité.
VLAN33 22 10.0.16.160 /27 10.0.16.161 10.0.16.190
pt
Laboratoire. VLAN44 17 10.0.16.192 /27 10.0.16.193 10.0.16.222
fp
Service de
traitement.
VLAN55 47 10.0.16.64 /26 10.0.16.65 10.0.16.126
.o
Serveurs VLAN66 5 10.0.16.240 /29 10.0.16.241 10.0.16.246
w
w
VLAN de Gestion VLAN77 7 10.0.16.224 /28 10.0.16.225 10.0.16.238
w
www.ofppt.info
Annexe 2 : Connexion entre le siège et Site-D :
fo
.in
pt
fp
.o
w
w
w
www.ofppt.info
Annexe 3 : Schéma du réseau du Site-D
fo
.in
pt
fp
.o
w
w
w
www.ofppt.info
Annexe 4 :
Résultats des commandes sur la machine victime :
Configuration IP de Windows
fo
C:\WINDOWS\system32> arp -a
Adresse Internet Adresse physique Type
10.0.0.1 0066.6c66.cd2b
.in
dynamique
10.0.0.39 000b.bed3.e480 dynamique
pt
fp
.o
www.ofppt.info
Barème de notation
fo
Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 Q10 Total
.in
1,5 2 1 0,5 0,5 1 2 1 1 2 12,5
pt
Q11 Q12 Q13 Q14 Q15 Q16 Q17 Q18 Q19 Q20 Total
fp
2 0,5 1 1 1 1,5 0,5 1 1,5 2 12
.o
Q21 Q22 Q23 Q24 Q25 Q26 Q27 Q28 Q29 Q30 Total
1 0,5 1 2 1
w
2 2 2 2 2 15,5
w
w
www.ofppt.info